マイクロソフト株式会社 田辺 茂也 http://blogs.technet.com/stanabe/ Information Card 個人の Identity 情報を「カード」 として表現し、 ネットワーク上で使えるように したもの
Windows CardSpace Information Card セレクタの マイクロソフトによる実装
2 ID プロバイダー アプリケーション (IdP, STS) 連携 (RP) 1. クレームを 要求
2. トークン 3. トークン (クレーム) 取得 (クレーム) 送信 ユーザー
Windows CardSpace
アプリケーション: ユーザーを特定するためにクレームを利用 ID プロバイダー: クレームを含むトークンを発行 連携: 信頼関係のもと、クレームが渡される
3 「カード」を選択する、 簡単で一貫した操作性を提供
カードの利用、クレーム (ユーザの属性情報) の 提供をユーザがコントロール
ユーザ名・パスワードの使用を低減 フィッシングからの防御 WS-* による通信 必要システム .NET Framework 3.0 以降 (現行の Windows CardSpace)
4 個人用カード マネージカード
自己署名型のカード Identity Provider により発行 ローカルに保存 ローカルにデータは保存せず、 ユーザー名・パスワードに Identity Provider から取得 対する、 STS が必要 より安全な代替手段
5 Windows CardSpace の次期バージョン Beta 2 公開中 (http://www.microsoft.com/geneva/) 年内に完成予定 (Forefront ブランド) 7/14 正式名称発表 ([ ] 内が正式名称) 特徴 軽量なインストーラー、セレクター エンタープライズシナリオにも対応
“Geneva” framework [Windows Identity Foundation] クレーム対応のプログラミングフレームワーク “Geneva” server [Active Directory Federation Services] Active Directory フェデレーションサービスの後継 Information Card の STS WS-Trust, WS-Federation SAML 2.0 protocol (範囲未定) 6 グループポリシーによる、Information Card の自動プロビジョニング 特定のサイトへのアクセスに自動的に使用
7 Web (ブラウザ) や Web サービス (クライア ントアプリケーション) で、 簡単な操作・確実な認証
8 AAA Discount Reminders
ChoixVert Information Card
The Equifax Over 18 I-Card
The Minuteman Library Network Information Card
Student Advantage RemindMe
The U.S. General Services Administration (GSA) I-Card
WebCard Loyalty from fun communications
http://informationcard.net/card-projects 9 U.S. General Services Administration 検証中 簡単にアクセス 本人確認 アクセスレベル フィッシングの 防止
http://informationcard.net/card-projects/us-gsa-initiative 10 Minuteman Library Network 最新入庫情報 Azigo.com (Higgins) のセレクタ利用 図書館用の情報+書籍情報
http://informationcard.net/card-projects/minuteman 11 ワシントン州で6番目に大きい学区 50校に24,000人以上の生徒
生徒を “Future ready” にするビジョンと、 グローバルな職場への準備
ネットブックでいつでも どこからでも リソースにアクセス できる環境の整備を計画
12 さまざまなカテゴリーのユーザー 教職員 (スタッフ) 生徒、保護者 (顧客) Active Directory のアカウントあり
さまざまな別個のアプリケーションが 数多くのベンダーから提供中 (主にクラウドベース) E ラーニング 教材
校務 13 数多くの課題: さまざまなデバイスから、いつで も、どこからでも、安全なアクセスの提供 認証: フェデレーションを実装するか? 認可: クラウドベースのアプリケーションは ロールの判断のために内部システムにアクセスする必 生がある 管理コスト (ID ライフサイクルなど) すべてを限られた IT スタッフでカバー
ソリューションには “In-Person-Proofing” と、ク レームベースのアクセスを含む
14 実社会の信頼関係を、オンライン トランザクションの信頼性に延長
IPP イベントにてオンライン ID を作成 生徒と保護者が、学校に出向いて 担当の職員に書類を提出 職員は本人確認、書類確認を行う 確認後マネージドのデジタル ID を発行 ID は Information Card のマネージカードで 生徒のコンピューターにインストールされる
15 Intand 社によるアプリケーション 学区にサービスとして提供
アプリケーションは、ユーザーのロールに応じて カスタマズされる コンテンツのカスタマイズ プライベートなイベントや データの保護 イベント作成の可・不可
16 ユーザー登録 学校の職員が 手作業で ユーザー毎の パーミッションを設定
17 シングルサインオン Information Card での サインオンをサポート ロール(クレーム)ベースのアクセス制御 生徒、教師、職員、保護者に 応じたコンテンツ 個人情報全部ではなく 認可に必要な属性だけを やり取りすればよい
LW 学区 Intand 社
Calendar Geneva Claims Application Active Server クレーム Service Claims Directory API
User Store 18 Information Card は簡単でセキュアな 認証手段です Windows CardSpace により、 ユーザーの操作性も向上します Windows CardSpace “Geneva” により より多くの実用的なシナリオに対応 プラットフォーム・ブラウザへの対応も 広がってきています ぜひ検証をお願いします!
19 参考情報
20 情報サイト ユーザー向けサイト (英語) http://www.microsoft.com/windows/products/winfamily/cardspace/default.mspx 開発者向けサイト (英語) http://msdn.microsoft.com/CardSpace 開発者コミュニティサイト (英語) http://netfx3.com/content/WindowsCardspaceHome.aspx Windows CardSpace の紹介 http://www.microsoft.com/japan/msdn/net/general/IntroInfoCard.aspx ビジョンに関する文書 The Laws of Identity (英語) http://msdn.microsoft.com/en-us/library/ms996456.aspx Microsoft„s Vision for an Identity Metasystem (英語) http://msdn.microsoft.com/en-us/library/ms996422.aspx Identity Lab 各種 Information Card の発行、利用実験のためのサイト http://www.federatedidentity.net/ Identity Selector Interoperability Profile http://download.microsoft.com/download/1/1/a/11ac6505-e4c0-4e05-987c- 6f1d31855cd2/Identity-Selector-Interop-Profile-v1.pdf 21 関連ブログ Kim Cameron's Identity Weblogs http://identityblog.com/ Windows CardSpace のアーキテクト CardSpace を中心に、アイデンティティに関するさまざまな話題を 取り上げている CardSpace: Behind The Code http://blogs.msdn.com/card/ Windows CardSpace の開発チームによる技術情報 Vibro.NET http://blogs.msdn.com/vbertocci/ “Understanding Windows CardSpace” (Addison Wesley) の著者 Vittorio Bertocci のブログ 開発者向けの、実装方法を中心としたトピック Mike Jones: self-issued http://self-issued.info/ CardSpace を中心に、アイデンティティの相互運用や業界動向など を幅広く取り上げている 22 http://informationcard.net 2008年6月発足 参加メンバー Board Members Equifax, Google, Microsoft, Novell, Oracle, PayPal Launch members Arcot Systems, Aristotle, A.T.E. Software, BackgroundChecks.com, CORISECIO, FuGen Solutions, Fun Communications, Gemalto, IDology, IPcommerce, ooTao, Parity Communications, Ping Identity, Privo, Wave Systems, WSO2 Fraunhofer Institute, Liberty Alliance Daniel Bartholomew, Sid Sidner
23 Windows CardSpace を利用するもの Internet Explorer 6/7/8 Firefox Identity Selector http://www.codeplex.com/IdentitySelector カードの一元管理が可能、Windows のみ対応
24 独自のセレクターを利用するもの Higgins http://www.eclipse.org/higgins/ Firefox, GTK, Cocoa, Eclipse RCP, AIR, iPhone Bandit Project http://cards.bandit-project.org Firefox, SuSE Linux, Mac OSX OpenCardSpace http://code.google.com/p/openinfocard/ FireFox の組み込みセレクター Xmldap.org のプロジェクト Infocard Selector For Safari http://www.hccp.org/safari-plug-in.html Mac OSX 25 IIS, HTML, ASP.NET 2.0: “Geneva” Framework [Microsoft Identity Foundation] クレームを扱うフレームワーク http://www.microsoft.com/geneva/ PHP: http://www.codeplex.com/informationcardphp Java: http://www.codeplex.com/informationcardjava Ruby: http://www.codeplex.com/informationcardruby C: http://www.codeplex.com/InformationCard Python: http://code.google.com/p/py-self-issued-rp/ Higgins Project Bandit Project ……
26 Web 開発者が追加する項目 データベースに、ユーザ ID フィールド・テーブルを追加 ブラウザチェックのための JavaScript Information card のアイコンと利用条件表記 ログインフォームに、カード対応部分を追加 トークン処理のためのコード (“Zermatt” などのフレームワーク) カード管理のページ
27 © 2009 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 28